はじめに
マイナンバーに関する情報が少なすぎて(そして判らなすぎて)、いろいろと奮闘しているのだが、この奮闘のさなかでも世の中では厄介な事件が起こっているようだ。
どの組織も情報セキュリティ対策について最善を尽くしているのだが、行政機関は予算事業であり、市民からお預かりした税金を大切に使わなければならない立場は不変なので、マイナンバーだからといって何でも許されるわけではない。
注意深く投資対効果を見ながら、手を打っていくことが私の役目でもある。
ここは冷静になって、なぜこのような状況になっているのかを考えなければならない。
特定個人情報という”モンスター”
正直、官民問わず特定個人情報というモンスターをうまく扱えていない。このモンスターは最初は小さくて扱いやすい態様だったのだが、いつの間にか制御が難しくなるぐらい大きくなってしまった。誰が育てたのかは知らないけど。
そこで改めて特定個人情報の定義をおさらいしてみよう。
特定個人情報の定義は、行政手続における特定の個人を識別するための番号の利用等に関する法律(平成二十五年五月三十一日法律第二十七号)の第2条8項にある。
(定義)
第二条 3 この法律において「個人情報」とは、行政機関個人情報保護法第二条第二項に規定する個人情報であって行政機関が保有するもの、独立行政法人等個人情報保護法第二条第二項に規定する個人情報であって独立行政法人等が保有するもの又は個人情報の保護に関する法律(以下「個人情報保護法」という。)第二条第一項に規定する個人情報であって行政機関及び独立行政法人等以外の者が保有するものをいう。
8 この法律において「特定個人情報」とは、個人番号(個人番号に対応し、当該個人番号に代わって用いられる番号、記号その他の符号であって、住民票コード以外のものを含む。第七条第一項及び第二項、第八条並びに第六十七条並びに附則第三条第一項から第三項まで及び第五項を除き、以下同じ。)をその内容に含む個人情報をいう。
念のため、この法律における個人情報の定義も載せておいた。つまり、この法律は個人情報保護法の概念を拡張したものであることがわかる。
従来の個人情報の取り扱い
個人情報がいかなるものなのか、特定の個人を識別するとはどういうことなのか、という議論はさておき、漠然と「あーこれは個人情報だな」と思えるものがあるとしよう。
この個人情報に関する取り扱いは、紆余曲折を経ながら一定のレベルで落ち着いているように感じる。
ポイントは次のとおり。
- 収集時における本人(個人情報で特定される主体)への利用目的の通知・公表と本人からの許諾
- 保有個人情報の適正管理
- 本人からの開示、訂正、削除要求に対する対応
このポイントの背景にあるのは、個人情報の持主は本人であり、本人がその扱いを制御する権利(自己情報コントロール権)を有するところにある。また、「個人情報は適切に管理することにより、有用性があるものだ」ということを明確に示している。
名刺交換を例にして考える
例えば、取引先との間で担当者と名刺交換をしたとしよう。この名刺に書かれている情報は特定の個人を識別できる「個人情報」である。
自分の名刺を渡すということは、相手に対して「名刺に書かれている内容を、ある一定の利用目的の範囲で利用させる」ことを暗黙のうちに許諾していると解釈できる。「ある一定の利用目的」というのは曲者で、人によっては無制限とも受けとめられるし、組織に帰属している範囲においてとか、当該ビジネスの範囲の中でとか、ちょっとあやふやでもある。
無制限と一方的に解釈して、名刺の画像をそのままネットにアップすると、まぁ間違いなくトラブルになるだろうから、なんとなくの範囲はあるのだろう。ビジネス上のマナーとして、会社を退職した際にはそこで交換した名刺は全て置いていくものだというのも聞いたことがあるし、人によっては職場宛に年賀状とか送ってくんな、というケースもあるかもしれない。
それでも、法律を根拠にして「私の名刺の情報はこのプロジェクトの範囲においてのみ利用してください。プロジェクトが終了したら私の名刺と記録されている個人情報は削除してください」と主張できるのは(ウザいけど)、大昔から比べれば前進なのかもしれない。
「特定」個人情報では
これが「特定」個人情報ではどうなるのか。前述のとおり、特定個人情報とは個人番号(いわゆるマイナンバー)と従来の個人情報が結合された状態のものだと言い換えることができる。法律上の言い回しはちょっと違うので、下記の関係であると整理しよう。
特定個人情報 = 個人情報(個人番号) ≒ 個人番号 + 個人情報
ちょっと補足しておく。上記の式を見ると判るのだが、個人番号そのものは特定個人情報ではない。あくまでも個人情報が存在していることが前提であり、紐づけられていないと該当しないのだ。この辺りを多くの人は勘違いしたままでいるようだ。
極論を言えば、個人番号と個人を識別できない情報を結合させたものは、特定個人情報にならない。(このことによるダークな未来については後日考察する)
本題に戻ろう。
そして、個人番号そのものに対して、利用範囲が定められている(番号法9条)。具体的には、社会保障、税及び災害対策に関する特定の事務に限定されているのだ。しかも「できる」規定なので、使わなくとも一向に差し支えない(ここも重要)。
また、特定個人情報そのものの利用範囲は、従来の個人情報保護法よりも厳しく設定しており、本人同意があっても利用範囲は限定され(番号法29条3項)、例外的な取り扱いも限定されている(番号法32条)。
そして、特定個人情報に関する運用は、従来の個人情報保護法(個人情報5000件以上保有の有無)と異なり、保有する個人情報の件数に関係なく適用される。
つまり、個人情報が特定個人情報になった瞬間に、取扱事業者の対象範囲が拡大し、取り扱いが非常に面倒になるのだ。
特定個人情報取扱いガイドライン
この取り扱いについては、特定個人情報保護委員会がガイドラインを示している。
ガイドラインを読むと、なかなかハードルが高い。そりゃそうでしょう。今まで全く該当していなかった事業者にも関係してくるのだし、要求することがイチイチ面倒で、人手も金もかかるときている。
従業員の給与を支払う段階で、所得税の源泉徴収をしているわけだから、全く該当しない事業者は存在しないのではないだろうか。
事業者向けのガイドラインを読んで、結構ヘビーだと思うことを挙げておこう。
番号を収集する際の「本人確認」「番号確認」に関する取り扱い
特に番号を収集し、個人情報と紐づけた特定個人情報として確認する窓口担当者と、特定個人情報を管理する担当者が別人で、かつ遠隔地だったりするケースもある。窓口担当者にそれだけの責務を負わせていいものだろうか。収集して管理に至るまでに情報の漏洩が発生した場合を企業は恐れている。
この場合の情報の漏洩とは、組織の外部に対しての漏洩だけではない。後述するが、組織の内部であっても無関係な者が不意に情報を得てしまうことを恐れているのだ。
特定個人情報の提供制限
個人番号の利用制限(法9条)、個人番号の提供制限(法15条)はなんとなく理解できるが、特定個人情報の提供制限(法19条)はミスを誘発しやすい。元々(普通の)個人情報として管理されていたものに、個人番号がひも付けされることで、特定個人情報に変化するのだが、それで取り扱いを変更しろというのはスジが悪すぎる。
なぜならば、これまでの当該個人情報は、本人から利用範囲の許諾を得た上で使用しているものであり、特定個人情報として扱いたいわけではないのだ。
私は従来の個人情報に意図しない形で個人番号がひも付けされ、特定個人情報となってしまう現象のことを、
個人番号汚染
と表現することにしている。
個人番号汚染については行政機関でも深刻な問題になるので、稿を改めて考えを書くことにする。
安全管理措置の解釈拡大
安全管理措置は「組織的安全管理措置」「人的安全管理措置」「物理的安全管理措置」「技術的安全管理措置」に大別される。
組織的安全管理措置はざっくりいうと「規定に基づく権限の分離による相互監視」の体制をつくることであり、内部統制のひとつのセオリーである。
人的安全管理措置は、特定個人情報を扱う事務に携わる人達に向けた研修、啓発のたぐいの話で、情報セキュリティの領域で同じようなことをやっているはずである。
物理的安全管理措置とは、情報保管場所や管理区域の隔離が代表的だろう。これに入退室管理などが加わる。これは個人情報保護法でも同様の取り扱いをしているため、馴染みはある。
ちょっと解釈が暴走気味なのが、技術的安全管理措置である。代表的なものにアクセス制御の仕組みがある。つまり、あらかじめ定められた権限を持つ者のみが特定個人情報へのアクセスを許されるということで、これ自体は問題ない。
ただ、権限の粒度が小さくなる方向に進んでいるのが気になる。極端なことを言えば、直接の担当外ならば関係ない情報にアクセスさせるなということである。個々のシステムがこれらのアクセス制御の粒度をどこまで細かく対応できるかが気になるところである。
民間事業者の方々へ一言
ただ、ここ最近のマイナンバーに関する企業の対応を見ていて、おそらく勘違いしていると思われるので、一言書き添えておく。
民間事業者では、マイナンバーに関する取り扱いは義務ではありません。
怪しげなマイナンバー対応ソリューションの導入を考える前に、このことは留意しておいて損はない。
番号法やガイドラインを読むと判るが、民間事業者に対しては「お願い」しかされていないことに注意して欲しい。最近、政府の資料で「民間事業者に対する責務」というタイトルの資料があって驚いたのだが、番号収集、管理、関係事務などを民間事業者がやらない(やれない)場合でも、一切の罰則はない。
逆に利用目的を逸脱した行為や、悪意のある情報提供、情報漏洩については罰則がある。中途半端にやって事故を起こすくらいならば、確実にできることだけをやるという戦略も(究極的には)アリなのだろうと思う。
一旦まとめ
ちょっと長くなったので、今回は一旦ここまで。次回は行政機関向けガイドラインに関することや、私が関与する行政機関における対応について書くことにする。